В первой половине 2025 года киберпреступная группа OldGremlin вновь активизировалась, направив свои усилия на атаки в адрес российских компаний. По данным «Лаборатории Касперского», с новой волной вымогательской активности столкнулись восемь крупных организаций. Среди пострадавших — промышленные предприятия, компании из сферы здравоохранения, ритейла и информационных технологий.
OldGremlin была впервые зафиксирована пять лет назад и с тех пор зарекомендовала себя как одна из наиболее продуманных и настойчивых вымогательских групп, действующих на территории России. По наблюдениям специалистов, злоумышленники могут удерживать контроль над заражённой инфраструктурой в течение длительного времени — в среднем около 49 дней — прежде чем зашифровать данные. В прежние годы группа уже требовала многомиллионные суммы, а в одном из эпизодов, зафиксированных в 2022 году, сумма выкупа составила почти 17 млн долларов.
В 2025 году тактика группы претерпела изменения. По информации «Лаборатории Касперского», в новых атаках используются обновлённые инструменты. Среди них — эксплойты, использующие уязвимости в легитимных драйверах для обхода систем защиты. Также злоумышленники задействуют среду выполнения Node.js, что позволяет запускать вредоносные скрипты, замаскированные под обычные системные процессы.
Примечательно, что в нынешней кампании кибергруппа стала использовать слегка модифицированное название — OldGremlins — в качестве подписи в вымогательских письмах. Это, как отметили в «Лаборатории Касперского», можно расценивать как попытку продемонстрировать преемственность и утвердить собственное присутствие на фоне обостряющейся конкуренции среди преступных группировок.
По данным специалистов, распространение вредоносного ПО начинается с фишинговой рассылки, содержащей заражённые вложения. После заражения используется ряд компонентов: один — для удалённого управления системой, другой — для отключения антивирусной защиты Windows и внедрения вредоносного драйвера, третий — для непосредственного шифрования данных. Заключительный модуль выводит сообщение с требованием выкупа, удаляет следы атаки и отключает устройство от сети, что затрудняет последующий анализ инцидента.
Янис Зинченко, эксперт по кибербезопасности «Лаборатории Касперского», прокомментировал, что возвращение OldGremlin сопровождается технически усовершенствованным подходом. По его словам, новая кампания подчёркивает необходимость постоянного мониторинга методов и приёмов, используемых кибергруппами, особенно с учётом их быстрой адаптации к изменяющимся условиям.